python-ldap до версии 3.4.0 уязвим к отказу в обслуживании, когда ldap.schema используется для ненадежных определений схемы из-за ошибки от…
python-ldap до версии 3.4.0 уязвим к отказу в обслуживании, когда ldap.schema используется для ненадежных определений схемы из-за ошибки отказа в обслуживании регулярных выражений (ReDoS) в анализаторе схемы LDAP. Отправляя специально созданные входные данные регулярного выражения, удаленный прошедший проверку подлинности злоумышленник может использовать эту уязвимость для вызова состояния отказа в обслуживании.
Продукт использует регулярное выражение с неэффективной, возможно экспоненциальной вычислительной сложностью в худшем случае, что ведёт к избыточному потреблению ресурсов CPU.
https://cwe.mitre.org/data/definitions/1333.html →Открыть в коллекции CWE →Регулярное выражение является чрезмерно ограничительным, что не позволяет обнаруживать опасные значения.
https://cwe.mitre.org/data/definitions/186.html →Открыть в коллекции CWE →Злоумышленник может реализовать атаку на программу, использующую неэффективную реализацию регулярных выражений (Regex), подобрав входные данные, приводящие к крайне неблагоприятному сценарию работы Regex. Типичный крайний сценарий характеризуется экспоненциальным временем работы относительно размера входных данных. Это объясняется тем, что большинство реализаций использует недетерминированный конечный автомат (NFA) в качестве основы алгоритма Regex, поскольку NFA допускает обратный просмотр и тем самым поддерживает более сложные регулярные выражения.
https://capec.mitre.org/data/definitions/492.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| python-ldap | Отслеживается | |
| python-ldap | Отслеживается | |
| python-ldap | Отслеживается | |
| python-ldap | Отслеживается | |
| python-ldap | Отслеживается | |
| python-ldap | Отслеживается | |
| python-ldap | Отслеживается | |
| python-ldap | Отслеживается | |
| python-ldap | * | Отслеживается |